Yöneticiler için çukurlar: Araştırmacılar, “patates” ailesinden yeni, gelişmiş bir indirici ve birkaç ayrıcalık yükseltme aracı dağıtarak hedeflenen sistemlere yönetici düzeyinde erişim sağlayan bir tehdit aktörü keşfetti.
“CherryLoader” çok kademeli, modüler bir yükleyicidir Golang dilinde yazılmışadı ve logosuyla meşru bir marka gibi görünmeye çalışan “Cherrytree” not alma yazılımı.
Son iki saldırıda Arctic Wolf’taki analistler tarafından gözlemlendiHollanda’daki bir IP üzerinden çalışan bir saldırgan, CherryLoader’ı kullanarak yönetici erişimi elde etmeye yönelik iki önemli kullanıma hazır aracı bıraktı. Son olarak, saldırı zincirinin sonunda, düşman, Windows güvenlik araçlarını ortadan kaldırmak için bir bash betiği konuşlandırdı.
Ancak CherryLoader’ın en şık özelliği, herhangi bir kodu yeniden derlemeye gerek kalmadan yükleri sorunsuz bir şekilde değiştirebilmesidir.
Arctic Wolf’un güvenlik araştırmalarından sorumlu kıdemli yöneticisi Kirk Soluk, “Bu durumda yükleri değiştirebilme yeteneği, kötü amaçlı yazılımın modüler tasarımının bir eseridir” diye açıklıyor. “Genel olarak konuşursak, ister indirici, ister botnet, RAT vb. olsun, kötü amaçlı yazılımlar zamanla daha modüler ve daha az monolitik hale geldi; dolayısıyla burada daha modern bir dil kullanan bir yazarımız var. [Go] ve ortak bir tasarım modelini takip etmek.”
CherryLoader’ın Kötü Amaçlı Yazılım Kasesi
Belirtildiği gibi, son iki izinsiz girişin arkasındaki saldırgan, herkese açık iki ayrıcalık yükseltme aracını dağıtmak için CherryLoader’ın modüler esnekliğini kullandı: Baskı Sahtekarlığı Ve SuluPatatesNG.
İkincisi, patates temalı uzun bir serinin yeni bir yinelemesidir. ayrıcalık yükseltme araçları (orijinal Sulu PatatesBadPotato), sönük satış konuşmasında da kanıtlandığı gibi: “başka bir Windows yerel ayrıcalık artışı [tool] hizmet hesabından sisteme.”
İlki, üç yıldan fazla bir süre önce piyasaya sürülmesinden bu yana 323 çatalla popüler bir araçtır. Çok, yazarına göre, Windows ayrıcalıklı yürüyen merdivenlerinin patates soyundan gelmektedir. Avantajlardan yararlanarak kendini ayırır. sözde “Yazıcı Hatası” “Kısıtlanmamış delegasyon” ile yapılandırılmış bir sisteme tekrar bağlanmak için bir Active Directory (AD) Etki Alanı Denetleyicisini değiştirmenin bir yolu. Sınırsız delegasyon son derece hoşgörülü bir AD yapılandırması bu sistem içinde kimliğe bürünmeye kapı açar.
CherryLoader’ın arkasındaki bilgisayar korsanları, bu araçları hedeflenen sistemlere üst düzey erişim elde etmek için kullandılar ve bu noktada, bir dizi kalıcılık ve anti-analiz işlevi gerçekleştiren bir toplu iş dosyası komut dosyası olan user.bat’ı bıraktılar. Diğer şeylerin yanı sıra, sistemde bir yönetici hesabı oluşturur, sırasıyla Windows Defender ve Microsoft Defender’daki yürütülebilir dosyaları beyaz listeye alır ve hariç tutar, Microsoft Defender AntiSpyware’i devre dışı bırakır ve uzak bağlantıları etkinleştirmek için güvenlik duvarı kurallarını değiştirir.
Arctic Wolf, bu kampanyaya yapılan her iki saldırının sonucu hakkında yorum yapmaktan kaçındı.